MySQL-Datenbanken werden auf Infektionen mit GandCrab Ransomware gescannt
Eine dedizierte Gruppe von Hackern führt eine eher vereinfachte, aber beständige Suche nach MySQL-Datenbanken durch. Anfällige Datenbanken werden dann für die Installation von Ransomware ausgewählt. MySQL-Serveradministratoren, die Remotezugriff auf ihre Datenbanken benötigen, müssen besonders vorsichtig sein.
Hacker führen eine konsistente Suche im Internet durch. Diese Hacker, von denen angenommen wird, dass sie sich in China befinden, suchen nach Windows-Servern, auf denen MySQL-Datenbanken ausgeführt werden. Die Gruppe plant offenbar, diese Systeme mit der GandCrab-Ransomware zu infizieren.
Ransomware ist eine hochentwickelte Software, die den wahren Eigentümer der Dateien sperrt und die Zahlung für den Versand über einen digitalen Schlüssel verlangt. Es ist interessant festzustellen, dass Cyber-Sicherheitsfirmen bisher keinen Bedrohungsakteur gesehen haben, der MySQL-Server angegriffen hat, die auf Windows-Systemen ausgeführt werden, insbesondere um sie mit Ransomware zu infizieren. Mit anderen Worten, es ist ungewöhnlich, dass Hacker nach anfälligen Datenbanken oder Servern suchen und schädlichen Code installieren. Die übliche Praxis ist ein systematischer Versuch, Daten zu stehlen, während versucht wird, sich der Erkennung zu entziehen.
Der jüngste Versuch, im Internet nach anfälligen MySQL-Datenbanken zu suchen, die auf Windows-Systemen ausgeführt werden, wurde von Andrew Brandt, Principal Researcher bei Sophos, aufgedeckt. Laut Brandt scheinen Hacker nach über das Internet zugänglichen MySQL-Datenbanken zu suchen, die SQL-Befehle akzeptieren würden. Die Suchparameter prüfen, ob auf den Systemen das Windows-Betriebssystem ausgeführt wird. Wenn Hacker ein solches System gefunden haben, verwenden sie böswillige SQL-Befehle, um eine Datei auf den exponierten Servern zu platzieren. Sobald die Infektion erfolgreich ist, wird sie zu einem späteren Zeitpunkt zum Hosten der GandCrab-Ransomware verwendet.
Diese jüngsten Versuche sind besorgniserregend, da der Sophos-Forscher es geschafft hat, sie auf einen Remote-Server zurückzuführen, der möglicherweise einer von mehreren ist. Offensichtlich hatte der Server ein offenes Verzeichnis, in dem die Serversoftware HFS ausgeführt wurde, eine Art HTTP-Dateiserver. Die Software bot Statistiken für die böswilligen Nutzdaten des Angreifers.
Brandt ging auf die Ergebnisse ein und sagte: „Der Server zeigt anscheinend mehr als 500 Downloads des Beispiels an, das ich beim Herunterladen des MySQL-Honeypots (3306-1.exe) gesehen habe. Die Beispiele mit den Namen 3306-2.exe, 3306-3.exe und 3306-4.exe sind jedoch mit dieser Datei identisch. Zusammengenommen gab es in den fünf Tagen seit ihrer Platzierung auf diesem Server fast 800 Downloads sowie mehr als 2300 Downloads des anderen (etwa eine Woche älteren) GandCrab-Beispiels im offenen Verzeichnis. Dies ist zwar kein besonders massiver oder weit verbreiteter Angriff, stellt jedoch ein ernstes Risiko für MySQL-Serveradministratoren dar, die ein Loch in die Firewall gesteckt haben, damit Port 3306 auf ihrem Datenbankserver für die Außenwelt erreichbar ist. “
Es ist beruhigend zu bemerken, dass erfahrene MySQL-Serveradministratoren ihre Server selten falsch konfigurieren oder ihre Datenbanken im schlimmsten Fall ohne Kennwörter belassen. Jedoch, solche Fälle sind nicht ungewöhnlich. Anscheinend scheint der Zweck der dauerhaften Scans die opportunistische Ausnutzung falsch konfigurierter Systeme oder Datenbanken ohne Passwörter zu sein.